スイッチ(config-if)# ip access-group ext1 in
次に、拡張
ACL
のログの例を示します。01:24:23:%SEC-6-IPACCESSLOGDP:list ext1 permitted icmp 10.1.1.15 -> 10.1.1.61 (0/0), 1 packet
01:25:14:%SEC-6-IPACCESSLOGDP:list ext1 permitted icmp 10.1.1.15 -> 10.1.1.61 (0/0), 7 packets
01:26:12:%SEC-6-IPACCESSLOGP:list ext1 denied udp 0.0.0.0(0) -> 255.255.255.255(0), 1 packet 01:31:33:%SEC-6-IPACCESSLOGP:list ext1 denied udp 0.0.0.0(0) -> 255.255.255.255(0), 8 packets
IP ACL
のすべてのロギング エントリは%SEC-6-IPACCESSLOG
で開始します。エントリの形式 は、一致したACL
やアクセス エントリの種類に応じて若干異なります。次に、log-inputキーワードを指定した場合の出力メッセージの例を示します。
00:04:21:%SEC-6-IPACCESSLOGDP:list inputlog permitted icmp 10.1.1.10 (Vlan1 0001.42ef.a400) ->
10.1.1.61 (0/0), 1 packet
log
キーワードを指定した場合、同様のパケットに関するログ メッセージには入力インターフェ イス情報が含まれません。00:05:47:%SEC-6-IPACCESSLOGDP:list inputlog permitted icmp 10.1.1.10 -> 10.1.1.61 (0/0), 1 packet
ACL
とも一致しないすべてのIP
パケット(TCPでもUDP
でもないパケット)がドロップされま す。スイッチ(config)# ip access-list extended ip2 スイッチ(config-ext-nacl)# permit udp any any スイッチ(config-ext-nacl)# exit
スイッチ(config)# vlan access-map map_1 20
スイッチ(config-access-map)# match ip address ip2 スイッチ(config-access-map)# action forward
例: IP パケットのドロップおよび MAC パケットの転送のデフォルト アクション
次の例の
VLAN
マップでは、デフォルトでIP
パケットがドロップされ、MAC
パケットが転送さ れます。標準のACL 101
および名前付き拡張アクセス リストigmp-match
およびtcp-match
をこ のマップと組み合わせて使用すると、次のようになります。•
すべてのUDP
パケットが転送されます。•
すべてのIGMP
パケットがドロップされます。•
すべてのTCP
パケットが転送されます。•
その他のすべてのIP
パケットがドロップされます。•
すべての非IP
パケットが転送されます。スイッチ(config)# access-list 101 permit udp any any スイッチ(config)# ip access-list extended igmp-match スイッチ(config-ext-nacl)# permit igmp any any
スイッチ(config-ext-nacl)# permit tcp any any スイッチ(config-ext-nacl)# exit
スイッチ(config)# vlan access-map drop-ip-default 10 スイッチ(config-access-map)# match ip address 101 スイッチ(config-access-map)# action forward スイッチ(config-access-map)# exit
スイッチ(config)# vlan access-map drop-ip-default 20 スイッチ(config-access-map)# match ip address igmp-match スイッチ(config-access-map)# action drop
スイッチ(config-access-map)# exit
スイッチ(config)# vlan access-map drop-ip-default 30 スイッチ(config-access-map)# match ip address tcp-match スイッチ(config-access-map)# action forward
例: MAC パケットのドロップおよび IP パケットの転送のデフォルト アクション
次の例の
VLAN
マップでは、デフォルトでMAC
パケットがドロップされ、IP
パケットが転送さ れます。MAC拡張アクセス リストgood-hosts
およびgood-protocols
をこのマップと組み合わせて 使用すると、次のようになります。•
ホスト0000.0c00.0111
および0000.0c00.0211
からのMAC
パケットが転送されます。IPv4 ACL の設定 ACL および VLAN マップの設定例
• decnet-iv
またはvines-ip
プロトコルを使用するMAC
パケットが転送されます。•
その他のすべての非IP
パケットがドロップされます。•
すべてのIP
パケットが転送されます。例:すべてのパケットをドロップするデフォルト アクション
次の例の
VLAN
マップでは、デフォルトですべてのパケット(IPおよび非IP)がドロップされま
す。例2
および例3
のアクセス リストtcp-match
およびgood-hosts
をこのマップと組み合わせて 使用すると、次のようになります。•
すべてのTCP
パケットが転送されます。•
ホスト0000.0c00.0111
および0000.0c00.0211
からのMAC
パケットが転送されます。•
その他のすべてのIP
パケットがドロップされます。•
その他のすべてのMAC
パケットがドロップされます。スイッチ(config)# vlan access-map drop-all-default 10 スイッチ(config-access-map)# match ip address tcp-match スイッチ(config-access-map)# action forward
スイッチ(config-access-map)# exit
スイッチ(config)# vlan access-map drop-all-default 20 スイッチ(config-access-map)# match mac address good-hosts スイッチ(config-access-map)# action forward
ネットワークでの VLAN マップの使用方法の設定例
例:ワイヤリング クローゼットの設定
ワイヤリング クローゼット構成では、ルーティングがスイッチ上でイネーブルにされていない場 合があります。ただし、この設定でも
VLAN
マップおよびQoS
分類ACL
はサポートされていま す。ホストX
およびホストY
は異なるVLAN
内にあり、ワイヤリング クローゼット スイッチA
およびスイッチC
に接続されていると想定します。ホストX
からホストY
へのトラフィックは、ルーティングがイネーブルに設定されたレイヤ
3スイッチであるスイッチ B
によって最終的にルーIPv4 ACL の設定
ネットワークでの VLAN マップの使用方法の設定例
ティングされます。ホスト
X
からホストY
へのトラフィックは、トラフィックのエントリ ポイン トであるスイッチA
でアクセス コントロールできます。図 4:ワイヤリング クローゼットの設定
HTTP
トラフィックをホストX
からホストY
へスイッチングしない場合は、ホストX
(IP
アドレ ス10.1.1.32)からホスト Y(IP
アドレス10.1.1.34)に向かうすべての HTTP
トラフィックがスイッ チA
でドロップされ、スイッチB
にブリッジングされないように、スイッチA
のVLAN
マップ を設定できます。最初に、HTTPポート上ですべての
TCP
トラフィックを許可(一致)するIP
アクセス リストhttp
を定義します。スイッチ(config)# ip access-list extended http
スイッチ(config-ext-nacl)# permit tcp host 10.1.1.32 host 10.1.1.34 eq www スイッチ(config-ext-nacl)# exit
次に、
http
アクセス リストと一致するトラフィックがドロップされ、その他のすべてのIP
トラ フィックが転送されるように、VLANアクセス マップmap2
を作成します。スイッチ(config)# vlan access-map map2 10
スイッチ(config-access-map)# match ip address http スイッチ(config-access-map)# action drop
スイッチ(config-access-map)# exit
スイッチ(config)# ip access-list extended match_all スイッチ(config-ext-nacl)# permit ip any any
スイッチ(config-ext-nacl)# exit
スイッチ(config)# vlan access-map map2 20
スイッチ(config-access-map)# match ip address match_all スイッチ(config-access-map)# action forward
IPv4 ACL の設定 ネットワークでの VLAN マップの使用方法の設定例
次に、VLANアクセス マップ
map2
をVLAN 1
に適用します。スイッチ(config)# vlan filter map2 vlan 1
例:別の VLAN にあるサーバへのアクセスの制限
別の
VLAN
にあるサーバへのアクセスを制限できます。たとえば、VLAN 10内のサーバ10.1.1.100 では、次のホストへのアクセスを拒否する必要があります。• VLAN 20
内のサブネット10.1.2.0/8
にあるホストのアクセスを禁止します。• VLAN 10
内のホスト10.1.1.4
および10.1.1.8
のアクセスを禁止します。図 5:別の VLAN 上のサーバへのアクセスの制限
例:別の VLAN にあるサーバへのアクセスの拒否
次に、サブネット
10.1.2.0.8
内のホスト、ホスト10.1.1.4、およびホスト 10.1.1.8
のアクセスを拒 否し、その他のIP
トラフィックを許可するVLAN
マップSERVER1-ACL
を作成して、別のVLAN
内のサーバへのアクセスを拒否する例を示します。最後のステップでは、マップSERVER1
をVLAN 10
に適用します。正しいパケットと一致する
IP ACL
を定義します。スイッチ(config)# ip access-list extended SERVER1_ACL
スイッチ(config-ext-nacl))# permit ip 10.1.2.0 0.0.0.255 host 10.1.1.100 スイッチ(config-ext-nacl))# permit ip host 10.1.1.4 host 10.1.1.100 スイッチ(config-ext-nacl))# permit ip host 10.1.1.8 host 10.1.1.100 スイッチ(config-ext-nacl))# exit
SERVER1_ACL
と一致するIP
パケットをドロップして、このACL
と一致しないIP
パケットを転 送するACL
を使用して、VLANマップを定義します。スイッチ(config)# vlan access-map SERVER1_MAP IPv4 ACL の設定
ネットワークでの VLAN マップの使用方法の設定例
スイッチ(config-access-map)# match ip address SERVER1_ACL スイッチ(config-access-map)# action drop
スイッチ(config)# vlan access-map SERVER1_MAP 20 スイッチ(config-access-map)# action forward スイッチ(config-access-map)# exit
VLAN 10
にVLAN
マップを適用します。スイッチ(config)# vlan filter SERVER1_MAP vlan-list 10